Les chercheurs de Qihoo 360 ont découvert un gigantesque nouveau botnet capable de lancer plus de 100 attaques par jour.

L'acteur de la menace cible des appareils tels que les routeurs, les DVR et les serveurs avec des logiciels malveillants connus sous le nom de Fodcha. En moins d'un mois, les chercheurs ont découvert que les acteurs de la menace avaient réussi à infecter plus de 62,000 XNUMX appareils avec le malware Fodcha.

À tout moment, environ 10 000 appareils sont utilisés pour lancer des attaques par déni de service distribué (DDoS), en utilisant les services de China Unicom (59 %) et China Telecom (39 %).

Il cible quotidiennement des centaines de victimes

"Sur la base des données directes de la communauté de sécurité avec laquelle nous travaillons, le nombre de robots en direct quotidiens dépasse 56,000 10,000", ont déclaré les chercheurs. "L'infection mondiale semble assez importante car rien qu'en Chine, il y a plus de 100 XNUMX bots actifs (IP) quotidiennement et aussi plus de XNUMX victimes DDoS attaquées quotidiennement."

Pour compromettre les terminaux, les attaquants utilisent un certain nombre d'exploits qui tirent parti des vulnérabilités n-day des appareils et des services, notamment Android ADB Debug Server RCE, Realtek Jungle SDK, les routeurs TOTOLINK, les routeurs ZHONE, etc.

De plus, le botnet cible MIPS, MPSL, ARM, x86 et d'autres architectures CPU.

Le domaine initial utilisé pour la commande et le contrôle (C2), surnommé [.]en, a été fermé par le fournisseur le 19 mars, ont ajouté les chercheurs. Après cela, les acteurs de la menace ont migré vers les experts du réfrigérateur.[.]CC.

"Le passage de la v1 à la v2 est dû au fait que leur fournisseur de cloud a arrêté les serveurs C2 correspondant à la version v1, donc les opérateurs Fodcha n'ont eu d'autre choix que de relancer la v2 et de mettre à jour C2", précisent les chercheurs.

"Le nouveau C2 est attribué à plus d'une douzaine d'adresses IP et est distribué dans plusieurs pays, dont les États-Unis, la Corée, le Japon et l'Inde, impliquant davantage de fournisseurs de cloud tels qu'Amazon, DediPath, DigitalOcean, Linode et bien d'autres."

Via: BleepingComputer

Share